-
Junior Member
- Вес репутации
- 0
Подозрения, что на машине кто-то хозяйничает.
На компьютере установлена Debian Lenny. Сегодня стали появляться странные процессы. Запускают "Системный монитор" в Гноме. Уже 2 раза видел lsb_release (сообщает версию системы). Еще пару раз запускались команды, которые я не запускал. Что можно сделать?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
А что в /var/log/auth.log пишется?
Добавлено через 31 секунду
Сообщение от
AndreyMust19
Еще пару раз запускались команды, которые я не запускал
Какие к примеру?
Последний раз редактировалось Kuzz; 16.08.2010 в 14:59.
Причина: Добавлено
The worst foe lies within the self...
-
-
- может, ктото из числа разработчиков, таким образом с годовщиной Debian некоторых пользователей поздравляет
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Интересно, с проблемами GNU Linux можно обращаться в раздел "помогите"?
-
-
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Junior Member
- Вес репутации
- 0
Точно помню Synaptic запускали. Как проверить - какие пакеты недавно были установлены?
В /var/log/auth.log только записи когда я входил в систему.
Лишние процессы запускаться перестали, а вот lsb_release все еще запускается. Успел увидеть, что его запускает python. А иногда сам запускается (командная строка - просто lsb_release). Может, поискать на диске все py-файлы?
Последний раз редактировалось AndreyMust19; 17.08.2010 в 21:16.
-
Junior Member
- Вес репутации
- 0
Опять неск. раз появлялся процесс lsb_release, запущенный python'ом, один раз в начале новой сессии появилась ошибка "Nautilus не может запущен в данный момент". А пару минут назад в системном мониторе промелькнул процесс без имени и командной строки и пользователем root, хотя в опциях стоит "показывать только свои процессы".
-
Сообщение от
AndreyMust19
Точно помню Synaptic запускали
Сообщение от
AndreyMust19
lsb_release
Демон-обновлятор на пайтоне... смотрит не вышла ли часом новая версия системы
Сообщение от
AndreyMust19
промелькнул процесс без имени и командной строки и пользователем root,
Похоже на глюк от короткоживущего процесса
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 0
Вообще-то lsb_release - это Python-скрипт, к-й выводит название дистрибутива и его версию. Исп-ся чтобы найти подходящую "жертву". Но запускаться он должен прямо, как lsb_release, а не из питона.
Системный монитор автоматически запускает lsb_release при запуске.
-
Сообщение от
AndreyMust19
Вообще-то lsb_release - это Python-скрипт
Ну и ка вы запустите питон-скрип не через питона?
-
-
Junior Member
- Вес репутации
- 0
Ну и ка вы запустите питон-скрип не через питона?
Вот так:
lsb_release
и в командной строке он также будет выглядеть.
В системном мониторе apt-get промелькнула. А я ее не запускал. Неужели никто не может ничего предложить?
Вот что есть в /var/log/auth.log:
Aug 23 10:17:01 pool-125-224 CRON[8312]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 23 10:17:01 pool-125-224 CRON[8312]: pam_unix(cron:session): session closed for user root
Aug 23 11:17:01 pool-125-224 CRON[8406]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 23 11:17:01 pool-125-224 CRON[8406]: pam_unix(cron:session): session closed for user root
Aug 23 12:17:01 pool-125-224 CRON[8897]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 23 12:17:01 pool-125-224 CRON[8897]: pam_unix(cron:session): session closed for user root
Aug 23 13:17:01 pool-125-224 CRON[10097]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 23 13:17:01 pool-125-224 CRON[10097]: pam_unix(cron:session): session closed for user root
Каждый час кто-то открывал root-сессию, что-то выполнял и закрывал ее. Пока отключил cron и atd
Последний раз редактировалось AndreyMust19; 23.08.2010 в 13:29.
-
Сообщение от
AndreyMust19
Каждый час кто-то открывал root-сессию,
Сказано же в логе - крон ее и открывал.
Т.е. у крона есть задание, которое он выполняет каждый час от имени рута
Курим crontab и /etc/cron.d ...
The worst foe lies within the self...
-
-
Сообщение от
AndreyMust19
Вот так:
lsb_release
и в командной строке он также будет выглядеть.
Всё правильно. Shell или кто там у вас за него работает, полезет в файл, распознает в нём текст, прочитает первую строку, увидит там вызов Python и запустит самого Питона для интерпретации скрипта. Скрипты на то и скрипты, что сами по себе, без поддержки интерпретаторов, не выполняются.
-
-
Junior Member
- Вес репутации
- 0
Ага:
# m h dom mon dow user command
17 * * * * root cd / && run-parts --report /etc/cron.hourly
25 6 * * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6 * * 7 root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6 1 * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
Значит на 17 минуте каждый час он ничего не делал.
Вот что пугает:
If the /etc/cron.allow file exists, then you must be listed therein in
order to be allowed to use this command. If the /etc/cron.allow file
does not exist but the /etc/cron.deny file does exist, then you must
not be listed in the /etc/cron.deny file in order to use this command.
If neither of these files exists, then depending on site-dependent con‐
figuration parameters, only the super user will be allowed to use this
command, or
all users will be able to use this command. For standard
Debian systems, all users may use this command.
Не значит ли это, что юзеры могли запускать программы от рута. Или только со своими привилегиями? Оба файла отсутствуют.
-
Сообщение от
AndreyMust19
Значит на 17 минуте каждый час он ничего не делал.
Нет, знач на 17-й минуте он лезет в /etc/cron.hourly и выполняет все, что там лежит
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 0
выполняет все, что там лежит
там пусто